Definieren von Zugriffsberechtigungen für externe Dokumente

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 6 Minuten Lesedauer

    • Sie können bei der Erfassung externer Dokumente Zugriffsberechtigungen für extern definierte Benutzer und Gruppen angeben. KI-Suche behält diese Berechtigungen während der Indizierung bei, sodass Sicherheitsfilter für Benutzerinhalte während der Suche darauf zugreifen können.

    Weitere Informationen zum Einbeziehen von Zugriffsberechtigungen für extern definierte Anwender und Gruppen in erfassten externen Dokumenten finden Sie unter dem Endpunkt POST /ais/external_content/ingestDocument/{schema_table_name} der APIzur Erfassung externer Inhalte.

    Zugriffsberechtigungen für externe Inhalte

    Die Sicherheit externer Inhalte umfasst Berechtigungen, die den Anwender- und Gruppenzugriff für ein externes Dokument beschreiben. Beim Indizieren eines externen Dokuments speichert KI-Suche diese Berechtigungen, sodass Inhaltssicherheitsfilter den Benutzerzugriff auf das indizierte Suchergebnis einschränken können.

    Zugriffsberechtigungen

    KI-Suche unterstützt die folgenden Zugriffsberechtigungen für erfasste externe Dokumente.

    Sicherheitsprinzipal Beschreibung
    jeder

    Boolesche Option, die angibt, ob der Zugriff auf das externe Dokument für alle Anwender zulässig ist. KI-Suche wendet diese globale Zugriffsberechtigung auf den indizierten Datensatz an, der aus dem Dokument erstellt wurde.

    Legen Sie diese Berechtigung für ein erfasstes Dokument über den Anforderungstextparameter „[array].principals.everyone“ in einer Anforderung an den Endpunkt POST /ais/external_content/ingestDocument/{schema_table_name} der APIzur Erfassung externer Inhalte fest.

    Wenn sie auf „true“ festgelegt ist, überschreibt diese Berechtigung alle Gruppen- und Anwenderberechtigungen.

    Diese Berechtigung und keineschließen sich gegenseitig aus. Nur eine dieser beiden Berechtigungen kann für ein externes Dokument auf „ true “ festgelegt werden.
    gruppen.verweigern

    Liste der extern definierten Gruppen, die keinen Zugriff auf das externe Dokument haben. Now Platform Anwender, die einer dieser externen Gruppen zugeordnet sind, können den indizierten Suchergebnisdatensatz, der aus dem Dokument erstellt wurde, nicht anzeigen.

    Legen Sie diese Berechtigung für ein erfasstes Dokument über den Anforderungstextparameter [array].principals.groups.deny in einer Anforderung an den Endpunkt POST /ais/external_content/ingestDocument/{schema_table_name} der APIzur Erfassung externer Inhalte fest.

    Diese Berechtigung hat Vorrang vor Gruppen. Wenn dieselbe Gruppe über Berechtigungen zum Lesen und Ablehnen des Zugriffs auf ein Dokument verfügt, verweigert KI-Suche Mitgliedern der Gruppe den Zugriff auf den indizierten Datensatz.

    Standardmäßig hat users.read Vorrang vor dieser Berechtigung. Informationen zum Umkehren dieser Rangfolge für eine indizierte Quelle finden Sie unter Ändern Sie die Priorität der Lese- und Gruppenablehnungsberechtigungen von Anwendern für eine indizierte externe Inhaltsquelle.
    Gruppen.Lesen

    Liste der extern definierten Gruppen, die auf das externe Dokument zugreifen dürfen. Now Platform Benutzer, die einer dieser externen Gruppen zugeordnet sind, können den indizierten Suchergebnisdatensatz anzeigen, der aus dem Dokument erstellt wurde.

    Legen Sie diese Berechtigung für ein erfasstes Dokument über den Anforderungstextparameter [array].principals.groups.read in einer Anforderung an den Endpunkt POST /ais/external_content/ingestDocument/{schema_table_name} der APIzur Erfassung externer Inhalte fest.

    Die Berechtigung„groups.deny“ hat Vorrang vor dieser Berechtigung. Wenn dieselbe Gruppe über Berechtigungen zum Lesen und Ablehnen des Zugriffs auf ein Dokument verfügt, verweigert KI-Suche Mitgliedern der Gruppe den Zugriff auf den indizierten Datensatz.
    Keine

    Boolesche Option, die angibt, ob der Zugriff auf das externe Dokument für alle Anwender verweigert wird. KI-Suche wendet diese globale Ablehnungsberechtigung auf den indizierten Datensatz an, der aus dem Dokument erstellt wurde.

    Legen Sie diese Berechtigung für ein erfasstes Dokument über den Anforderungstextparameter [array].principals.none in einer Anforderung an den Endpunkt POST /ais/external_content/ingestDocument/{schema_table_name} der APIzur Erfassung externer Inhalte fest.

    Wenn sie auf „true“ festgelegt ist, überschreibt diese Berechtigung alle Gruppen- und Anwenderberechtigungen.

    Diese Berechtigung und keineschließen sich gegenseitig aus. Nur eine dieser beiden Berechtigungen kann für ein externes Dokument auf „ true “ festgelegt werden.
    users.deny

    Liste der extern definierten Anwender, denen der Zugriff auf das externe Dokument verweigert wird. Now Platform Anwender, die einem dieser externen Anwender zugeordnet sind, können den indizierten Suchergebnisdatensatz, der aus dem Dokument erstellt wurde, nicht anzeigen.

    Legen Sie diese Berechtigung für ein erfasstes Dokument über den Anforderungstextparameter „[array].principals.users.deny“ in einer Anforderung an den Endpunkt POST /ais/external_content/ingestDocument/{schema_table_name} der APIzur Erfassung externer Inhalte fest.

    Diese Berechtigung hat Vorrang vor users.read. Wenn derselbe Benutzer sowohl über die Berechtigung zum Lesen als auch zum Verweigern des Zugriffs auf ein Dokument verfügt, verweigert KI-Suche diesem Benutzer den Zugriff auf den indizierten Datensatz.
    users.read

    Liste der extern definierten Anwender, die auf das externe Dokument zugreifen dürfen. Now Platform -Benutzer, die einem dieser externen Benutzer zugeordnet sind, können den indizierten Suchergebnis-Datensatz anzeigen, der aus dem Dokument erstellt wurde.

    Legen Sie diese Berechtigung für ein erfasstes Dokument über den Anforderungstextparameter [array].principals.users.read in einer Anforderung an den Endpunkt POST /ais/external_content/ingestDocument/{schema_table_name} der APIzur Erfassung externer Inhalte fest.

    users.deny hat Vorrang vor dieser Berechtigung. Wenn derselbe Benutzer sowohl über die Berechtigung zum Lesen als auch zum Verweigern des Zugriffs auf ein Dokument verfügt, verweigert KI-Suche diesem Benutzer den Zugriff auf den indizierten Datensatz.

    Standardmäßig hat diese Berechtigung Vorrang vor Gruppen.Verweigern. Informationen zum Umkehren dieser Rangfolge für eine indizierte Quelle finden Sie unter Ändern Sie die Priorität der Lese- und Gruppenablehnungsberechtigungen von Anwendern für eine indizierte externe Inhaltsquelle.

    Rangfolge für Prinzipalberechtigungen

    Die Rangfolge der Berechtigungen [array].principals für ein erfasstes externes Dokument hängt vom Wert des Attributs user_read_takes_precedence_over_group_deny für die indizierte Quelle des Dokuments ab.

    Attributwert Rangfolge für Prinzipalberechtigungen
    wahr
    Von der höchsten zur niedrigsten Priorität:
    1. everyone und none
    2. users.deny
    3. users.read
    4. groups.deny
    5. groups.read
    Hinweis:
    Dies ist der Standardattributwert für indizierte Quellen für externen Inhalt.
    falsch
    Von der höchsten zur niedrigsten Priorität:
    1. everyone und none
    2. users.deny und groups.deny
    3. users.read und groups.read
    Hinweis:
    Anweisungen zum Festlegen dieses Attributwerts finden Sie unter Ändern Sie die Priorität der Lese- und Gruppenablehnungsberechtigungen von Anwendern für eine indizierte externe Inhaltsquelle.

    Einzelheiten dazu, wie Inhaltssicherheitsberechtigungen von bestimmten Anwenderrollen mit diesen externen Inhaltssicherheitsprinzipalen interagieren, finden Sie unter Spezielle Zugriffsberechtigungen für externe Inhalte nach Rolle.

    Spezielle Zugriffsberechtigungen für externe Inhalte nach Rolle

    Bestimmte Anwenderrollen bieten spezielle Zugriffsberechtigungen für indizierte Datensätze mit externem Inhalt.

    Rolle Berechtigungen

    KI-Suche -Administrator [ais_admin]
    Ein KI-Suche -Administrator kann auf alle Datensätze mit externen Inhaltsindizes in einer Suchanwendung zugreifen.
    Hinweis:
    Um alle Suchquellen- und Inhaltssicherheitsfilter in der Suchvorschau-UI zu umgehen, benötigen Sie auch die Rollen Identitätswechsel und KI-Suche Hochsicherheitsadministrator [ais_high_security_admin]. Einzelheiten zu diesem Verfahren finden Sie unter Diagnostizieren Sie Probleme beim Zugriff auf Suchergebnisse mit der Suchvorschau-UI.
    Gastbenutzer [öffentlich] Nicht authentifizierte Gastanwender können nur auf indizierte Datensätze mit externem Inhalt zugreifen, für die die Berechtigung [ everyone auf truefestgelegt ist.
    Selbstregistrierter externer Benutzer [snc_external]

    Selbstregistrierte externe Anwender, die zu Gruppen gehören, können basierend auf ihrer Gruppenmitgliedschaft auf Datensätze mit externen Inhaltsverzeichnissen zugreifen. Externe Anwender, die keiner Gruppe angehören, können nur auf indizierte Datensätze mit externem Inhalt zugreifen, für die die Berechtigung [ everyone auf truefestgelegt ist.

    Weitere Informationen zu selbstregistrierten externen Benutzern finden Sie unter Selbstregistrierung für ServiceNow Instanzan.

    Ändern Sie die Priorität der Lese- und Gruppenablehnungsberechtigungen von Anwendern für eine indizierte externe Inhaltsquelle

    Legen Sie fest, dass für alle externen Dokumente, die über eine indizierte Quelle erfasst werden, die Verweigerungszugriffsberechtigungen externer Anwender Vorrang vor Lesezugriffsberechtigungen externer Anwender haben.

    Vorbereitungen

    Externer Inhalt für KI-Suche Plugin (com.glide.ais.external_content) muss in Ihrer -Instanz aktiviert sein.

    Die Quelltabelle für die indizierte Quelle muss eine externe Inhaltsschematabelle sein.

    Erforderliche Rolle: ais_admin

    Warum und wann dieser Vorgang ausgeführt wird

    Standardmäßig haben die Lesezugriffsberechtigungen von externen Anwendern (users.read) für ein externes Dokument Vorrang vor den Zugriffsverweigerungsberechtigungen für externe Gruppen (groups.deny) für dasselbe Dokument.

    Angenommen, Sie erfassen externe Inhalte über eine indizierte Quelle mit einer Anwenderzuordnung, die den Now Platform Anwender beth.anglin@example.com dem externen Anwender ad\beth-anglin und der externen Gruppe report-userszuordnet . Wenn ein externes Dokument [] Lesezugriff gewährt und den Zugriff auf report-usersad\beth-anglin verweigert, ermöglicht beth.anglin@example.comKI-Suche, den indizierten Suchergebnisdatensatz für das externe Dokument anzuzeigen.

    Um dieses Standardverhalten für eine indizierte Quelle umzukehren und dafür zu sorgen, dass Ablehnungsberechtigungen für externe Gruppen für alle zugehörigen indizierten Datensätze Vorrang vor Leseberechtigungen für externe Anwender haben, ändern Sie den Wert des Attributs user_read_takes_precedence_over_group_deny der indizierten Quelle. Im vorherigen Beispiel würde diese Änderung verhindern, dass beth.anglin@example.com den indizierten Suchergebnisdatensatz für das externe Dokument anzeigt.

    Prozedur

    1. Navigieren zu Alle > KI-Suche > KI-Suche Index > Indizierte Quellenan.
    2. Wenn die zugehörige Liste „Erweiterte Konfiguration“ nicht im Formular angezeigt wird, folgen Sie den Schritten in Fügen Sie einem Formular eine zugehörige Liste hinzu, indem Sie im Slushbucket die Liste „ KI-Suche – Attribut für indizierte Quelle“->Liste „Indizierte Quelle “ auswählen.
    3. Wählen Sie in der zugehörigen Liste „Erweiterte Konfiguration“ Neu.
    4. Geben Sie im Formular „Attribute der indizierten Quelle“ die folgenden Feldwerte ein.
      Feld Wert
      Attribut user_read_takes_precedence_over_group_deny
      Wert falsch

      Eine Beschreibung der Feldwerte finden Sie unter Formular „Attribut für indizierte Quelle“.

    5. Wählen Sie Absenden.
      Das Attribut und der Wert werden in der zugehörigen Liste „Erweiterte Konfiguration“ angezeigt.

    Ergebnisse

    Die Änderung der Berechtigungseinstellung wird für Suchergebnisse aus der indizierten externen Inhaltsquelle wirksam.